ACL:訪問控制列表
1.ACL的作用
- 訪問控制
- 抓取感興趣流量
訪問控制:通過在路由器上定義一張ACL列表,在路由器的接口的某個方向上調用之後實現讓路由器根據表中的定義的規則對流量進行動作——允許或拒絕
2.ACL分類
- 標準ACL:只能識別數據包中的源IP地址
- 擴展ACL:可以識別數據包中的源,目IP,源,目端口和協議號
3.ACL匹配規則
至上而下逐一匹配,命中即執行動作,不再查看下一條規則;末尾隱含拒絕所有。
4.ACL的兩種寫法
- 編號
- 命名
標準ACL:只能識別數據包中的源IP地址,爲了避免誤刪,調用時儘量靠近目標
(1)編號:1-99編號屬於標準acl,一個編號一張表(刪除一條整張表消失)
r1(config)#access-list 1 deny host 192.168.2.2 //拒絕單個IP
r1(config)#access-list 1 permit any //允許所有
r1(config)#interface fastEthernet 0/2 //接口調用
r1(config-subif)#ip access-group 1 out
(2)命名:默認規則以10+的序號排列
r1(config)#ip access-list standard haha
r1(config-std-nacl)#deny host 192.168.2.2
r1(config-std-nacl)#permit any
r1(config)#interface fastEthernet 0/2
r1(config-subif)#ip access-group haha out
查看ACL列表
r1#show ip access-lists
Standard IP access list haha
10 deny host 192.168.2.2 (6 match(es))
20 permit any
注:r1(config)#access-list 1 deny 192.168.2.0 0.0.0.255 //拒絕範圍
擴展ACL:可以識別數據包中的源、目IP,源、目端口和協議號,爲了避免流量消耗資源,調用時儘量靠近源
(1)編號:100-199
r1(config)#access-list 100 deny ip host 192.168.2.2 host 192.168.3.2
前綴 編號 動作 協議 源 目標
r1(config)#access-list 100 permit ip any any
(2)命名:默認規則以10+的序號排列,根據序號增刪改查
r1(config)#ip access-list extended www
r1(config-ext-nacl)#deny ip host 192.168.2.2 host 192.168.3.2
r1(config-ext-nacl)#permit ip any any
拒絕範圍:
r1(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255